本文来自微信公众号“数字经济杂志”,作者/艾龙。
一、我国数据要素政策发展历程
数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局。
2019年11月5日,党的十九届四中全会发布《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》,首次将“数据”列为生产要素,提出了“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。2020年4月9日,中共中央、国务院公布《关于构建更加完善的要素市场化配置体制机制的意见》,将数据作为与土地、劳动力、资本、技术等传统要素并列的第五大生产要素,并明确提出“引导培育大数据交易市场,依法合规开展数据交易”。
2022年12月19日,中共中央、国务院对外公开发布《数据二十条》,明确了坚持促进数据合规高效流通使用、赋能实体经济这一主线,开始形成数据产权、流通、交易、使用、分配、治理、安全等基础制度的“四梁八柱”,在我国数据要素价值释放过程中具有里程碑意义。
2023年3月7日《国务院关于提请审议国务院机构改革方案的议案》中特别提出要组建国家数据局。国家数据局的成立将从国家层面上协调统筹、形成合力,推进全国数据要素统一大市场建设。
紧锣密鼓出台的政策部署标志着我国数据要素市场即将步入高速发展阶段,全面深入推进数字化转型、加强市场机制对数据要素的优化配置、打破体制机制障碍、充分挖掘数据要素价值,将促进数字经济从以效率提升为目标的阶段发展到以实现数据要素价值最大化的阶段。在此局势下,探索建立保障数据要素流通、交易、共享、应用的数据安全治理体系,为数据要素市场发展提供牢固基础时不我待。
二、数据安全的内涵与外延在不断扩展
数据从资源形态通过价值释放转变为资产,通过不断地应用和流通进阶为新的生产要素。数据要素驱动产业数字化转型已经成为全球共识。随着数字技术与实体产业、实体经济的不断融合,各类数字化技术对数据充分地开发和利用,数字空间正在不断地影响和改变着我们生产和生活的方方面面。一方面是物理世界对数字空间的依存度增加了,另一方面是数字空间对物理世界产生的影响、带来的安全风险也将会更大。所以在数字空间视角下,数据安全的内涵与外延正在不断地扩展。
三、数据要素利用所面临的多重安全挑战
数据要素在不断流通、充分释放价值的过程中,随时带来一系列的安全挑战,主要体现在如下几个方面:
一是,数据要素底数和流向不清晰。敏感数据分散,使用权责不明确,缺乏数据分类分级管理策略,导致数据流向及数据访问行为难跟踪、难管控。
二是,数据要素风险状况不明确。数据全生命周期各阶段存在安全隐患,数据泄露、篡改、破坏、非授权使用及隐私风险等可造成的影响不清晰。
三是,数据安全策略及能力不一致。各类数据处理主体、场景、环境的安全策略及能力不统一,数据要素无法在全过程获得一致的保护。
四是,数据安全事件处置不联动。各类行业、组织对跨环节的数据安全事件处置,缺乏统一机制,缺少应急预案管理和应急演练,不具备联动能力等。
五是,数据安全保障水平衡量不统一。缺少标准的数据安全风险评估、能力评估方法,没有数据安全实战评估和验证机制,缺少数据安全技术检测手段,无法对数据安全能力进行一致衡量。
四、基于“六步法”构建数据安全协同治理体系
面对复杂多变的数据要素流通场景和安全挑战,我们需要构建一套与业务战略协同推进的立体化、纵深化的数据安全体系架构,既要强化数据安全保护,又要充分发挥数据要素价值。
首先,在战略层面,我们应当以充分释放数据要素价值、保障数字化转型为首要目标,从组织层面的建设整体的安全文化,并结合业务发展需要和应用创新需求来制定整体的安全战略。其次,在治理层面,以法律法规为依据,以监管为指引,首先构建数据要素安全保障的基本防线,从而建立覆盖全局联动的数据安全治理体系,从组织层面构建持续指导、监督、评价、沟通的治理机制。再次,在管控层面,通过PDCA的闭环管理思路,结合行业经验和实践,构建全局的数据安全管理、技术体系。最后,在运营层面,建立持续改进的运行机制,通过数据安全的持续建设及常态运营,不断提高数据安全的能力与效用。需要重点关注的持续改进内容如:持续开展数据安全能力建设,不断细化数据安全管控粒度;持续优化安全运维管理,实现对系统和应用的实时监测、管理和响应,及时发现和处置数据安全事件,保障系统和数据的持续可靠运行;持续优化数据安全评价机制,从数据要素价值、安全威胁及风险、业务关联及影响、合规遵从及履责等角度对数据安全的投入和实际效益进行评估,让数据安全建设的效果及价值做到量化控制。
数据安全治理涉及领域广、环节多,是一项系统工程。在建设过程中,需要步步推进、层层深入,采用“六步走”数据安全保障体系建设思路。通过明确数据保护范围及数据安全风险、定义数据安全权责边界,建设可执行、可落地的管理制度手段以及长期、持续的数据安全运营过程,在长效、流程化的数据安全监管手段指导下,赋能各个行业客户、各种新型场景下的数据安全。
第一步:数据安全治理评估方面,首先应当对业务应用现状进行调研分析,确定业务的关联关系、访问路径、数据操作、数据流向及演变过程,找出主要业务所面临的管理、技术及运营风险,为制定业务的数据安全管理规范提供依据。同时可针对管理制度、组织架构、技术措施、业务场景及数据资产全面开展评估梳理工作,为客户数据安全体系化建设提供基础支撑。
第二步:数据安全组织架构建设方面,数据安全建设是一项多方协同的复合型工作,在开展组织架构建设时,需考虑组织层面实体的管理以及执行团队、虚拟联动小组等各方面,所有涉及部门均需参与其中。可以从决策层、管理层、执行层、参与层、监督层几个层次来构建数据安全的基本防线。
第三步:数据安全管理制度建设方面,通过明确目标和要求来管人,通过细化方法和流程来理事。数据安全管理制度建设从业务数据安全需求、数据安全风险控制及合规性要求等方面进行梳理,最终确定数据安全防护的目标、管理策略及具体的标准、规范、制度等。
第四步:数据安全技术保护体系建设方面,技术是管理的延续,数据安全应遵循“三同步”原则进行体系化构建,并且从环境安全、业务安全、访问安全、传输安全及安全管理等多个维度提升数据生命周期处理活动的安全防护能力。同时,还要关注各业务活动中的场景偏好,从而基于业务场景与特征进行自身业务技术防护框架、数据安全技术框架的设计并建设。
第五步:数据安全运营管控建设方面,首先应建立完善的数据安全运营团队,负责进行数据安全管控措施策略和配置的优化;制定数据安全事件应急预案,在发生数据安全事件时,可采取应急处置措施,并定期对应急预案和处置流程优化完善;建立数据安全监测预警和安全事件通报制度,对发现的安全风险及时上报;在数据安全事件发生后,可依据数据安全审计记录进行追踪溯源,并及时改进优化数据安全防护策略。构建一体化的“建、管、用”运营能力的同时,基于数据风险进行动态调整、响应与处置等,最终形成数据安全防护闭环。
第六步:数据安全监管建设方面,数据安全建设是一个复杂且持续的过程,需要全面符合数据安全相关的监管要求,离不开安全监管机构、行业主管单位、数据使用单位等多方协同,共同促进数据安全产业生态建设。
五、总结与展望
加强数据安全治理,已经成为推动数据经济发展、维护国家安全的战略需要,过程中,我们不仅要协同安全监管、行业主管、数据责任单位、使用单位及运营单位力量等多方角色,还需要协同产业中业务系统开发商、技术研发单位、数据治理单位、安全治理咨询企业、运维服务企业等多方力量,共同营造产业合作生态。持续坚持技术创新,积极探索新技术新架构,不断将人工智能、机器学习、区块链等技术与数据安全相结合,相融共创,构建我国数据安全协同共治的治理格局。